Cyberveiligheid is een belangrijk aandachtspunt in de Brusselse discussie over het ongecensureerd vrijgeven van de datastromen uit de connected car. Het is de drempel waar autofabrikanten maximaal van profiteren. Tot nu toe tenminste.
Autofabrikanten maken zich terecht druk om cyberveiligheid. Aan de ene kant doen zij dat omdat zij iedere inbreuk op de systemen die garant moeten staan voor een veilige rijbeleving zullen ervaren als een bedreiging voor het merkimago. Aan de andere kant zullen auto’s die afdoende gewapend zijn tegen hackers op meer vertrouwen van de autokoper kunnen rekenen.
Uiteraard worden deze factoren ook commercieel gedreven, want de data-stromen bieden de autofabrikanten kansen om nieuwe verdienmodellen te ontwikkelen. Iedere kans die zich voordoet om de data achter een ‘Chinese muur’ te stoppen is meegenomen en houdt het onafhankelijke kanaal op afstand.
Aansprakelijk
Een ander punt betreft de aansprakelijkheid. Wanneer een systeem niet hackproof blijkt te zijn, zullen benadeelde consumenten een claim bij de autofabrikant neer willen leggen, zoals dat ook bij banken gebeurt als betaalsystemen worden gekraakt of pincodes gestolen. Dan moet de consument wel kunnen aantonen dat er alles aan is gedaan om cybercriminelen tegen te houden. Die verplichting legt de werkplaatsklant natuurlijk bij zijn autobedrijf neer. Tenslotte heeft die de regie – denkt de klant – als het om het updaten van de systemen in de auto gaat. Daar komen de autofabrikanten om de hoek kijken als het om het vrijgeven van datastromen richting het onafhankelijke kanaal gaat. Als een consument bij een vermeend cyberveiligheidsprobleem voor reparatie of onderhoud toestemming heeft gegeven, inclusief het gebruik van de beschikbare voertuigdata door een partij die niet over de juiste cyberbescherming beschikt, wie is dan aansprakelijk? Is dat de bezitter van de server die de datastromen verzorgt (denk aan Caruso of Carmunication)? Is dat een partij die data als intermediair heen en weer stuurt (denk aan een onderdelen- of equipmentleverancier)? Is dat het autobedrijf dat een update verzorgt? Of is dat misschien de consument zelf? En als er dan iets gebeurt, wordt een schade door een verzekeraar gedekt?
Iedere partij die van de bezitter van een connected car toestemming krijgt om de datastromen te gebruiken, zal zijn aansprakelijkheid geregeld moeten hebben. Want het zal bij 999 van de 1000 keer goed gaan, maar hoe groot is de schade bij die ene promille als het wel fout afloopt en bijvoorbeeld de auto stil komt te vallen of geüpdatete systemen (denk aan ADAS) niet correct blijken te werken?
Spelregels
De ongebonden markt wil een gelijk speelveld als gaat om de vrije toegang tot voertuigdata. Dat is terecht, maar op een gelijk speelveld gelden voor iedereen dezelfde spelregels. Dat houdt onder meer in dat onafhankelijke autobedrijven hun aansprakelijkheid zullen moeten nemen op het moment dat dit nodig is. Zij zullen moeten zorgen voor garanties tegen de gevolgen van cyberaanvallen. Zij zullen moeten investeren in IT-systemen, apparatuur, protocollen en een scala aan andere maatregelen voordat zij überhaupt toegang krijgen tot de connected car. Gezien de risico’s en de belangen die er op het spel staan, kan het niet anders dan dat de onafhankelijke marktpartijen naar een samenwerkingsverband zullen en moeten streven om dit vraagstuk te pareren. En zij zullen Brussel ervan moeten overtuigen dat zij zich kunnen houden aan de spelregels die bij een gelijk speelveld horen.
